sql injection
-
SQL Injection 취약점(2)_Error Based InjectionWeb Vulnerability 2020. 1. 27. 20:45
SQL Injection 취약점(2)_Error Based Injection 1. 정의 SQL 쿼리에 고의적으로 오류를 발생시켜, 출력되는 에러의 내용을 통해 필요한 정보를 찾아낸다. 기본적으로 '(싱글 쿼테이션) 또는 ''(더블 쿼테이션)을 이용하며, Group BY와 HAVING 등을 이용하기도 한다. 2. 실습 환경 Error Based Injection 실습을 위한 환경은 다음과 같다. - 웹 서버 운영체제: Windows Server 2003 - 웹 서버 : IIS 6.0 - 데이터베이스 : MSSQL Server 2003 - 스크립트 언어 : ASP 3. 점검 방법 1) 에러 메시지를 통한 DB 정보확인 DB에서 반환되는 에러메시지를 이용하여 DB 정보(Table, Column 등)를 확인해본..
-
SQL Injection 취약점(1)_개요Web Vulnerability 2020. 1. 27. 19:11
SQL Injection 취약점 1. 정의 데이터베이스와 연동된 웹 어플리케이션에서 SQL 질의문에 대한 필터링이 제대로 이루어지지 않을 경우 발생하는 취약점이다. 공격자가 입력이 가능한 폼(웹 브라우저 주소 입력창 또는 로그인 폼 등)에 조작된 질의문을 삽입하여 웹 서버의 데이터베이스 정보를 열람 또는 조작이 가능하다. 2. 발생 원인 사용자 입력값에 대한 필터링이 존재하지 않아 발생한다. 즉, 사용자 입력값에 대한 검증이 미흡하다는 것이다. 3. 발생 위협 데이터 추출(Extracting Data) 데이터 추가 및 변조(Adding or Modifying Data) 인증 우회(Bypassing Authentication) 원격 명령어 실행(Executing remote commands) 권한 상승(P..